Userbase redirect naar https

[svermassen]

Admins, is het mogelijk om de redirect van http naar https af te dwingen.
Mijne antivirus, Bitdefender, had userbase geblokkeerd.
Blijkbaar zat ik terug op een http-verbinding en dat in combinatie met een username en password ==> blocked

Thanx !

Ik heb wel geen www. ervoor staan, enkel userbase.be.

[JamesEarlGray]

Je kan de https everywhere add-on gebruiken om dit tegen te gaan in de toekomst.

[svermassen]

Je kan de https everywhere add-on gebruiken om dit tegen te gaan in de toekomst.

Dat weet ik hoor, maar ik geef altijd de voorkeur dat de websites dit aanpassen

[thomasv]

Code: Selecteer alles

#force HTTPS
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}

Plakken in .htaccess in root folder

Met plezier

[Tim.Bracquez]

Ja, snap zelfs niet waarom HTTP zonder SSL zelfs nog open staat op een forum of ergens waar je een wachtwoord moet ingeven.

[svermassen]

Ja, snap zelfs niet waarom HTTP zonder SSL zelfs nog open staat op een forum of ergens waar je een wachtwoord moet ingeven.

Och, ik krijg dat zelfs bij een deel van mijn eigen klanten niet tot bun verstand.
Dat zijn dan die die hun eigen websites onderhouden en als ze dan iets aan de hand hebben, dan staan ze daar weer alsof het mijn schuld is
Maar das niet zonder een factuur langs mijne kant

[Converted]

Alle mannen, maak er nu eens werk van zodat https werkt zoals het hoort.
Anno 2019 en een IT forum vind ik raar dat het maar half werkt...

[CCatalyst]

Goh, kennis van waar er nog een echte bereikbare http website is blijft toch altijd handig om geforceerd op de splash van een pover geconfigureerde captive portal te raken, iets wat ik toch nog enkele keren per jaar tegenkom. Eigenlijk bewijst Userbase dus een dienst aan ons IT-ers . Tot voor kort had je ook op cnn.com en tijd.be die garantie maar sinds ergens vorig jaar zijn die beiden ook naar https gegaan.

Jaja, ik weet wel, neverssl.com doet dit ook en specifiek met dit opzet, maar nooit alle eieren in een mand steken he.

[DarkV]

Goh, kennis van waar er nog een echte bereikbare http website is blijft toch altijd handig om geforceerd op de splash van een pover geconfigureerde captive portal te raken, iets wat ik toch nog enkele keren per jaar tegenkom. Eigenlijk bewijst Userbase dus een dienst aan ons IT-ers . Tot voor kort had je ook op cnn.com en tijd.be die garantie maar sinds ergens vorig jaar zijn die beiden ook naar https gegaan.

Jaja, ik weet wel, neverssl.com doet dit ook en specifiek met dit opzet, maar nooit alle eieren in een mand steken he.

www.standaard.be

[Goztow]

Het Belgisch staatsblad natuurlijk.

[thomasv]

Jokes aside; wie kunnen we best contacteren? => iemand met FTP of SSH toegang is voldoende als eerste stap. Eventueel het ‘root domain’ in de forumsoftware aanpassen vervolgens.
Of doen bepaalde mods/plug-ins moeilijk?

[Goztow]

Https forcen voor alles kan niet omdat je dan geen externe afbeeldingen meer kan toelaten via img tag. Maar verplicht gebruik van https url zou kunnen. Contacteer meon of sub_zero daarvoor eens?

[Tim.Bracquez]

**

[Converted]

Zou jij eventueel meon of sub_zero kunnen contacteren ivm dit script en https url zodat er eens werk van gemaakt kan worden?

[Tim.Bracquez]

@Converted: Je moet gewoon gewoon maar eens Google Analytics er aan hangen, dit werkt met een stomme tracking pixel, heb je genoeg info al

Er is een reden waarom er in je browser meldingen komen van extern geladen resources.

Https only, images enkel op site, waarom zou een avatar extern moeten staan of toch via Proxy script? Als die (image)site traag laad is heel de pagina slow ....

[svermassen]

Ik snap echt niet dat je HTTP verkeer nog toe laat, via Google krijg je daar gewoon strafpunten voor ook. Https only heeft voorkeur in de resultaten.

Antivirus blokken ook tegenwoordig.
Hier met Bitdefender aan hand

[Tim.Bracquez]

@svermassen: Ook logisch, alles waar je wachtwoorden post zou https-only moeten zijn. Heb al gemerkt zelfs dat userbase mails ook (soms) http only links sturen, dus UB-members krijgen bij topic posts automatisch http links voorgeschoteld en gaan dus mogelijk zonder dat ze het weten op http connecteren!

Zie screenshot

Screenshot 2019-08-27 at 22.13.11.png

Trouwens hier gewoon een voorbeeld van een remote include (avatar of niet), je hebt uiteraard alle info van welke pagina je komt. Samen met beetje creativiteit maak je gewoon een user -> IP database als forum member (dus niet als site beheerder)


Zoals ik al eens aangaf, zet cloudflare er voor, die heeft zelfs een optie om ALLES naar https te rewriten en op https beschikbaar te maken, ook externe images... Dan heb je die problemen niet

[Converted]

Ik ben niet zo technisch onderlegt.
Maar ik stel mij echt de vraag waarom ze cloudflare niet gebruiken? Vanwege privacy?

[CCatalyst]

Tbh, wie zich zorgen maakt over het feit dat zijn paswoord in the clear gestuurd wordt, kan die niet beter gewoon stoppen met paswoorden te herbruiken op verschillende sites?

[tb0ne]

Ik zie de link niet tussen zorgen over http en herbruiken, beide doe je beter niet.

[boonpwnz]

Catalyst het heeft hier eigenlijk niet met wachtwoorden te maken maar met ip adressen die easy geleaked kunnen worden via afbeeldingen.

[Tim.Bracquez]

@boonpwnz: Dit kan uiteraard ook met https site.

UB-admins zet vinkje https only even aan en zet de remote image include even uit

[Pi.Degroote]

Momenteel gebruik ik 'uBlock Origin' en 'HTTPS Everywhere' in Google Chrome.

Toch denk ik dat het interessant zou zijn (vooral op een ICT forum als Userbase) dat HTTPS met TLS 1.2/1.3 overal afgedwongen zou worden.

Ik veronderstel dat, anno 2019, iedereen hier reeds met een platform en web browser werkt die een dergelijk protocol ondersteunt.

[CCatalyst]

Catalyst het heeft hier eigenlijk niet met wachtwoorden te maken maar met ip adressen die easy geleaked kunnen worden via afbeeldingen.

Ik snap ook niet meteen hoe TLS dit zou verhelpen, de enige meerwaarde zit hem in het feit dat men in de pakketroute onderweg dan niet meer zogezegd het IP aan de username kan koppelen, maar wie de afbeelding post kan dat nog altijd zien, dus wat zou die eersten daartoe tegenhouden.

Is het niet gewoon beter van een VPN of proxy te gebruiken of zelf een script te installeren dat die afbeeldingen blokkeert? Want als je afbeeldingen blokkeert is het volgende gewoon clickbaitlinks om je IP te achterhalen hoor.